處理ack洪泛攻擊的方法和裝置的制造方法
【技術領域】
[0001]本發(fā)明涉及計算機通信技術領域�,尤其涉及一種處理ACK洪泛攻擊的方法和裝置。
【背景技術】
[0002]目前,網絡設備經常會受到分布式拒絕服務(DistributedDenial of Service�,DDoS)攻擊。在DDoS攻擊中����,多個攻擊源同時利用合理的服務請求來占用同一臺網絡設備過多的服務資源�,從而使該網絡設備無法處理合法用戶的指令。其中�����,傳輸控制協(xié)議/因特網互聯協(xié)議(Transmiss1n Control Protoco I/Internet Protocol���,TCP/IP)被網絡設備廣泛使用����。根據TCP/IP協(xié)議����,在連接建立和數據傳輸的過程中,網絡設備都會收到用于不同服務請求的ACK報文�����。因此,ACK洪泛攻擊是DDoS攻擊的常用形式��。在ACK洪泛攻擊中�����,多個攻擊源可以同時向網絡設備發(fā)送大量的ACK報文����,從而使該網絡設備無法響應正常的ACK報文。
[0003]為了保護網絡設備��,通常在檢測到ACK洪泛攻擊后����,將該網絡設備接收的所有ACK報文轉發(fā)給預先設置的防御設備,由防御設備對ACK報文進行處理����。防御設備在處理ACK洪泛攻擊時,主要采用丟棄方式和觸發(fā)重傳方式�����。
[0004]在丟棄方式中����,防御設備不對合法用戶進行識別�����,直接將所有ACK報文直接丟棄�����。在丟棄用于攻擊的ACK報文的同時,也將合法用戶的ACK報文全部丟棄���,造成合法用戶與網絡設備的連接斷開����。合法用戶需要通過手動方式重新與網絡設備建立連接�����,影響合法用戶的網絡體驗�����。
[0005]在觸發(fā)重傳方式中�����,防御設備從某個終端第一次收到ACK報文后,記錄接收該ACK報文的時間并將該ACK報文丟棄��,后續(xù)又從該終端接收到ACK報文時�����,判斷兩次接收ACK報文的時間間隔是否合理��,當時間間隔合理時�����,確定該發(fā)送方為合法用戶��。由于不同的操作系統(tǒng)的需求不同�,該時間間隔的設置也比較復雜。為了防止ACK洪泛攻擊���,該時間間隔通常設置為2-5秒�,造成很多合法用戶在這個時間段內發(fā)送的ACK報文被丟棄����,合法用戶的服務請求被中斷���,影響正常用戶的網絡體驗。另外����,根據TCP/IP協(xié)議,終端在發(fā)出ACK報文后��,即使沒有收到反饋�����,也會繼續(xù)在預設的TCP窗口范圍內傳輸盡可能多的數據報文�。在觸發(fā)重傳方式中�,這些數據報文都將被丟棄,直到該終端再次發(fā)送ACK報文并被確定為合法用戶��,從而浪費更多的網絡資源����。
【發(fā)明內容】
[0006]本發(fā)明實施例提供了一種處理ACK洪泛攻擊的方法和裝置,能夠在處理ACK洪泛攻擊時����,及時地分辨出合法用戶����,提高合法用戶的網絡體驗���,避免大量合法用戶的報文被丟棄�,節(jié)約網絡資源��。
[0007]本發(fā)明實施例的技術方案是這樣實現的:
[0008]一種處理ACK洪泛攻擊的方法�,包括:
[0009]防御設備從終端接收到第一ACK報文后,存儲所述第一ACK報文的信息����;
[0010]所述防御設備向所述終端發(fā)送用于指示重傳的ACK報文;
[0011]所述防御設備根據所述第一ACK報文的信息��,確定接收到的第二ACK報文是否與所述第一 ACK報文匹配����;
[0012]當接收到的所述第二ACK報文與所述第一 ACK報文匹配,所述防御設備確定所述終端為合法用戶;并將所述第二 ACK報文發(fā)送給所述防御設備對應的網絡設備�����;
[0013]當接收到來自所述合法用戶的第三ACK報文時��,將所述第三ACK報文發(fā)送給所述防御設備對應的網絡設備。
[0014]一種處理ACK洪泛攻擊的裝置��,包括:
[0015]確定模塊��,用于從終端接收到第一ACK報文后��,發(fā)送存儲指令給存儲模塊���,發(fā)送重傳指令給發(fā)送模塊;根據所述第一ACK報文的信息����,確定接收的第二ACK報文是否與所述第一ACK報文匹配;當接收到的所述第二ACK報文與所述第一ACK報文匹配�����,確定所述終端為合法用戶�����,并將所述第二ACK報文發(fā)送給所述發(fā)送模塊�����;當接收到來自所述合法用戶的第三ACK報文時���,將所述第三ACK報文發(fā)送給所述發(fā)送模塊�����;
[0016]所述發(fā)送模塊用于根據所述確定模塊的重傳指令��,向所述終端發(fā)送用于指示重傳的ACK報文;將來自所述確定模塊的所述第二 ACK報文和所述第三ACK報文發(fā)送給所述裝置對應的網絡設備�����;
[0017]所述存儲模塊用于根據所述確定模塊的存儲指令��,存儲所述第一ACK報文的信息�。
[0018]根據本發(fā)明實施例提供的處理ACK洪泛攻擊的方法和裝置�,防御設備在收到終端的ACK報文后,主動發(fā)送ACK報文給終端���,并根據該終端的反饋���,迅速地識別出合法用戶,免合法用戶的網絡服務中斷��,提高了合法用戶的網絡體驗�。另外�����,由于防御設備識別合法用戶的時間很短��,無需丟棄大量合法用戶發(fā)送的ACK報文����,從而節(jié)約了網絡資源���,減少了 ACK洪泛對正常用戶的影響��。
【附圖說明】
[0019]為了更清楚地說明本發(fā)明實施例或現有技術中的技術方案�,下面將對實施例或現有技術描述中所需要使用的附圖作簡單地介紹���,顯而易見地����,下面描述中的附圖僅僅是本發(fā)明的一些實施例����,對于本領域普通技術人員來講��,在不付出創(chuàng)造性勞動性的前提下,還可以根據這些附圖獲得其他的附圖�����。
[0020]圖1為本發(fā)明實施例提供的處理ACK洪泛攻擊的方法的流程圖��。
[0021 ]圖2為本發(fā)明實施例提供的處理ACK洪泛攻擊的方法的流程圖��。
[0022]圖3為本發(fā)明實施例提供的處理ACK洪泛攻擊的方法的流程圖���。
[0023]圖4為本發(fā)明實施例提供的處理ACK洪泛攻擊的裝置的結構的示意圖����。
[0024]圖5為本發(fā)明實施例提供的處理ACK洪泛攻擊的裝置的結構的示意圖���。
【具體實施方式】
[0025]下面將結合本發(fā)明實施例中的附圖��,對本發(fā)明實施例中的技術方案進行清楚��、完整地描述��,顯然���,所描述的實施例僅是本發(fā)明一部分實施例����,而不是全部的實施例�����?���;诒景l(fā)明中的實施例,本領域普通技術人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例����,都屬于本發(fā)明保護的范圍。
[0026]圖1為本發(fā)明實施例提供的處理ACK洪泛攻擊的方法的流程圖��。在本發(fā)明實施例中�,預先為網絡設備,如服務器等配置用于處理ACK洪泛攻擊的防御設備�。如圖1所示,該方法包括如下步驟����。
[0027]步驟11,防御設備從終端接收到第一ACK報文后���,存儲第一 ACK報文的信息���。
[0028]在本發(fā)明實施例中,防御設備首次從某個終端接收到ACK報文����,即第一ACK報文后,存儲該第一 ACK報文的信息��。
[0029]在本發(fā)明實施例中�,第一ACK報文的信息可以是第一ACK報文的標識信息。根據該標識信息�,可以唯一確定第一ACK報文。在本發(fā)明實施例中��,第一ACK報文的信息可以包括第一ACK報文的標識信息和接收第一ACK報文的時間����。其中,標識信息可以是五元組信息;或者是五元組信息和序列號(SEQ)�。
[0030]步驟12,防御設備向該終端發(fā)送用于指示重傳的ACK報文�。
[0031]在本發(fā)明實施例中,用于指示重傳的ACK報文可以為攜帶有該第一ACK報文的SEQ的ACK報文。
[0032]根據TCP/IP協(xié)議����,接收到來自發(fā)送方的ACK報文X后,接收方反饋的ACK報文Y中應攜帶ACK報文X的SEQ+載荷�����。如果接收方反饋的ACK報文Y中只攜帶了 ACK報文X的SEQ�,則表示接收方已經丟棄了該ACK報文X,發(fā)送方在接收到來自接收方的ACK報文Y后�,會重新發(fā)送該ACK報文X。因此��,在本發(fā)明實施例中����,防御設備將攜帶有第一ACK報文SEQ的ACK報文作為指示終端重新發(fā)送第一 ACK報文。
[0033]在本發(fā)明實施例中��,該用于指示重傳的ACK報文可以為使能了SACK選項的ACK報文����。
[0034]根據TCP/IP協(xié)議,接收方可以通過使能SACK選項���,告知發(fā)送方哪些報文段丟失����,從而使發(fā)送方重新發(fā)送丟失的報文段�。在本發(fā)明實施例中,防御設備可以通過使能SACK選項�����,告知終端第一 ACK報文為需要重傳的報文�,從而使終端重新發(fā)送第一 ACK報文。
[0035]在實際應用中���,防御設備還可以采用其